3月18日，道琼斯风险合规（Dow Jones R&C）和走出去智库（CGGT）共同举办“中国企业如何应对俄乌局势下的涉外风险”在线研讨会，来自高科技企业、互联网公司、央企、外资500强公司、监管政策研究专家等近300人参加，行业涉及电子、半导体、金融、能源、生物医药、工业制造、互联网、汽车、化工、航空等。

道琼斯风险合规中国区总监马建新在主旨演讲中指出，当前俄乌局势下美欧制裁不断加码，而且这些制裁的规则变化很快，企业需要抓住关键点，对美国的制裁体系要从两个维度分析，第一个维度是从美国总统行政令的角度，第二个从美国国会立法的角度。企业防范制裁风险一定要“知其然，知其所以然”，通过全面分析制裁规则，评估制裁风险，然后结合企业特点，从顶层设计制裁合规专项框架，从基层的业务流程中去管控风险，并尽早建立内外部的专家顾问团队，或培养企业自己的合规人才队伍，统筹协同各方资源，在总体国家安全观的理念下，真正做到“未雨绸缪，防患未然”。

中国企业如何应对制裁风险？今天，走出去智库(CGGT)刊发马建新演讲的主要内容，供关注跨境合规管理的读者参阅。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

当今世界正经历百年未有之大变局，国内外形势正在发生深刻复杂变化。当下的俄乌战争，促使欧美等国对俄罗斯不断加码制裁，大国博弈所带来的国际秩序和规则变化，这给企业国际经营环境带来极大的不确定性，因此如何驾驭风险，如何化解长臂管辖，如何安全稳健发展，成为所有企业的关注焦点。

以前，企业走出去是以规则为本，现在一定要以风险为本。以风险为导向，就需要定性和定量的评估风险、监测风险、控制风险以及缓释风险，还需要从全流程分析各类地缘风险对企业国际经营的影响，从国际收付结算等关键节点判断对企业资金管理的影响，以及从客户、经销商、供应商、交易对手方、第三方合作伙伴等方面分析是否会有风险传染的影响等。因此，企业要以点、线、面、体相结合的多维视角，去开展风险管理和合规治理工作。

当然，任何事情都没有绝对的无风险，风险一定还是会存在，但关键是怎样设定企业的风险容忍度和风险偏好，怎样加强对风险的“免疫力”和“反脆弱”能力，从而“不管风吹浪打，胜似闲庭信步”的驾驭好风险。

关于对俄罗斯的制裁，美国从2014年因克里米亚就开始加强制裁，特朗普上任后又签署了很多法案，比如涉及到金融、能源、军工和深海油田开发等各方面的制裁限制，以及对资本市场也进行融资类的制裁限制。又如，2018年针对俄铝的制裁，香港联交所就发出过风险提示，要在一定时间内清仓。由此可见，国际制裁政策是瞬息万变、千变万化的，我们不能仅通过“老办法应对新问题”，还需要动态的观察风险，适时的优化风控能力，与时俱进的调整应对策略。 

美国的经济制裁和出口管制措施，现在已经成为其外交政策“工具箱”里的主要工具，所以在域外长臂管辖的范围越来越多，单边制裁的规则也变化很快，但我们千万不要掉进这些规则的陷阱，而应该“跳出”这些琐碎的规则，了解美国制裁的主要诉求，抓住关键的制裁风险点，比如美国的制裁体系至少要从两个维度分析，第一个维度是从行政令的角度，第二个维度是美国国会的立法角度。结合俄罗斯的相关制裁来看，主要的制裁措施是依据一些国会法案，比如 2017年的CAATSA法案，2012年《马格尼茨基人权问责法案》，还有911事件之后小布什签署的《美国爱国者法案》等，所有制裁约束机制中大多是以这些法案为依据；然后美国总统及其政府部门，围绕外交政策及所谓国家安全的诉求，再从贸易、金融、能源、军工、人权，以及技术壁垒等方面，制订更为详细的制裁规则，从而达到美国国会或总统所期望的制裁目的。

从美国联邦法规上来看，一共有50编，如上图所示，其中与出口管制和经济制裁相关的制裁分别在第15编和第31编。比如，涉及到俄罗斯相关的制裁条例是第587部分（Part 587: Russian Harmful Foreign Activities Sanctions Regulations），大家可能也会发现第586部分涉及到对我国涉军企业的制裁（Part 586:Chinese Military-Industrial Complex Sanctions Regulations），另外第501部分的501.807款涉及履职记录和罚金计算等内容，这些看起来很繁杂，但都是有章可循，当然要具体这分析这些制裁规则，还是建议通过专家团队，甚至通过科技团队帮忙智能化梳理，以实现“制度流程化、流程信息化、信息智能化”的应对策略。

比如最近CAATSA法案关注的人比较多，因为这个法案不仅仅是针对俄罗斯的，还有伊朗和朝鲜。其中大家要注意第228节（Sec. 228. 对俄罗斯境内与外国逃避制裁者和严重侵犯人权者进行交易的制裁），其中涉及俄罗斯重大交易（Significant transactions）的定义，还有第231节（Sec.231对与俄罗斯情报或国防部门进行交易的制裁），也对重大交易进行了强调，以及第233节（Sec.233.对国有资产进行投资或促进其私有化的制裁）等，建议企业重点关注。

还有大家也要多了解制裁豁免的情形，比如：外交豁免或者人道主义豁免，当然这些规则最后的解释权还是归美国政府。我们要注意的是，美国的这些制裁逻辑和规则，实际上就是“小院高墙”策略，通过经济或技术壁垒，制约其科技发展，影响其经济稳定性，破坏被制裁政府的执政基础，从而达到制裁之目的。还有，从小院高墙的外部挖好“壕沟”，阻断外部救援力量，如针对非美国人采取次级制裁，即使没有美国连接点，但如果与被制裁对象进行的交易恰好在其制裁措施红线内，则会被次级制裁。比如美国在2018年对俄铝的制裁就是很典型的案例，其中就涉及到次级制裁，导致俄铝的第三方合作伙伴不能与俄铝交易。

另外，目前大家对俄罗斯制裁比较关心的还有SWIFT系统，这与SDN等制裁名单不一样，不是资产冻结，只是涉及被切断的几家银行的资金通路无法通过SWIFT报文往来，从而影响整个支付、清算、结算环节。虽然从制裁逻辑上分析，这不代表一定不能开展非美元业务，但这需要根据业务场景具体分析，要全面评估相关风险。

还有一个要特别注意的风险就是制裁所有权（Sanction Controls Ownership，简称SCO）。因为美国OFAC有个50%原则，当被制裁对象直接或间接所持有的权益达到50%，则该权益也适应于被制裁对象的限制措施。比如俄罗斯联邦储蓄银行所持有的50%以上股权的资产也会受到一样的制裁限制，即使这些资产并没有被列入制裁名单。这需要企业进行最终受益所有人（UBO）的股权穿透，所以客户尽职调查（CDD）的合规履职工作是非常重要的，因为股权结构里“埋着很多雷”。

再举例：比如被制裁对象X企业持有A企业50%的股权，同时持有B企业50%的股权，则A和B企业虽然没有被列入制裁黑名单，但也一样受到与X企业相同的制裁限制。假设这个股权结构中还有C企业，分别被A和B企业持有25%股权，因为A和B属于被制裁所有权限制的对象，而A和B对C企业累积拥有50%（25%+25%）的股权，所以C企业也将会受到与X一样的制裁限制。因此真正做好股权穿透分析非常复杂，建议通过专业机构做分析和判断。（注意，英国和欧盟的制裁规则中也有50%原则。）

企业应对俄罗斯的制裁风险，我们建议至少有五个关键点（4W1H），就是:

1、了解您在与谁进行交易（WHO）？最终用户是谁？合作伙伴是谁？做好客户身份识别（Know Your Customer, KYC）；

2、您做的是什么交易（WHAT）? 是军品还是军民两用物品？是否是含有美国最低占比成分的物品？是否在美国为俄罗斯新增设的外国直接产品规则（FDP）?

3、请问是在哪里做交易（WHERE）？是否在一些司法管辖区所认定的高风险国家? 是否在这些国家的港口、机场或自贸区？

4、请问是如何开展的交易（HOW）？是否海上船舶运输？船舶及其控制人、受益人是否被制裁？是否管道运输？管道运营公司是否有制裁风险？

5、最后还要问一下自己，为什么（WHY）要做这笔业务? 您的初心是什么？

大家要注意的是，在当前俄乌局势下，我们不仅要看美国对俄罗斯的制裁，还要看俄罗斯对西方国家的反制裁。这五个关键点只是帮助企业梳理主要的风险点，其他风险点，建议企业结合已建立的合规体系及风险管理措施，搭建国际制裁合规专项框架（Sanctions Compliance Program，简称SCP），在此简要的说明一下其中的五个要素：

1、管理层承诺：高级管理层义务是决定 SCP 成功与否的一个关键性因素，包括并不限于以下义务：高级管理层是否已审阅并批准了 SCP？高级管理层是否确保合规部门具有必要的权限和自主权，并在 SCP 负责人和高级管理层之间建立直接的汇报关系？高级管理层是否确保合规部门获得与公司整体风险状况相称的充足资源，比如任命一名专职且合格的制裁合规官？高级管理层是否在公司内部推广“合规文化”并给予合规团队资源支持（人、财、物等）？

2、风险评估：制裁合规中的风险是潜在的威胁因素，这些因素如果被忽略便会导致违反制裁的行为。风险评估应当包括对整个组织的审查，并确定其与受制裁个体、国家或地区接触的潜在领域，包括并不限于以下方面的评估：客户、供应链、中间商和交易对手方；公司提供的产品和服务；公司及其客户、供应链、中间商和交易对手方的地理位置；应以适当的方式和频率进行风险评估，并且风险评估应“端到端”的从建立业务开始，到交易期间，以及业务结束之后，持续的开展风险评估，并适当开展回溯风险评估程序；应制定一项用以识别、分析和处理已知风险的方法，并适时更新和优化风险评估方法，避免明显违规行为或系统缺陷。

3、内部控制：有效的 SCP 应当包括内部控制，以识别、禁止或报告明显的违规行为，并保存相关记录。内部控制应当反映对制裁名单更新，及以下措施：制定与机构相适应的制裁合规制度和流程，指导日常业务运营的需求，易于遵守，且防范员工的不当行为；实施恰当解决风险评估结果的内部控制措施，降低固有风险；选择并调整解决公司制裁风险状况和合规需求的信息技术解决方案，并定期测试这些方案以确保其有效性；将SCP制度明确地传达给所有相关人员，包括在高风险地区工作的人员和业务部门，并且传达给代表该公司执行SCP程序的外部各方；任命合适人员将SCP程序整合到公司日常运营的各项流程之中。

4、测试和审计：定期或不定期的评估当前SCP程序的有效性，并且查找薄弱环节和缺陷，然后改进和优化合规计划以弥补相关漏洞。工作内容包括并不限于以下内容：更新SCP内容以应对变化中的风险评估或制裁环境；对特定项目进行测试和审计，或在整个范围内实施测试和审计；采取与风险等级相适应的测试或审计程序，并且确保审计人员拥有足够的专业知识、资源和权限；了解到薄弱环节后，立即采取有效措施执行补偿性控制，直到导致薄弱环节的根本原因可以得到纠正。

5、培训：根据公司制裁风险状况定制的培训，并且涵盖适当人员的培训对SCP的成功而言至关重要。建议每年应当至少举办一次培训，并达成以下目标：提供与机构经营特点及风险状况相关的制裁合规知识；传达每个员工的合规责任；通过评估使员工了解各自对制裁合规的义务；为利益相关方（如适用）提供培训和指导，以支持组织的合规工作；建议为高风险员工提供定制化的培训；为客户、代理行、商业合作伙伴等提供适当的合规培训，避免风险传导；确保参与培训的所有适用人员均达到培训目标。

综上，中国企业在应对俄乌局势下的涉外合规风险的时候，建议管理者和经营者要有“一二三”的新理念：“一个意识”，即总体国家安全观的大局意识；“两件大事”：即统筹安全和发展两件大事，推动企业从高速度发展向高质量可持续发展转型；“三项思维”：即顶层思维，做好战略风险预判；底线思维，做好履职责任担当；系统思维，协同科学发展。

企业合规不是口号，也不是纸面合规，而是要深入到客户层面、业务场景中仔细分析。企业防范制裁风险一定要“知其然，知其所以然”，通过全面分析制裁规则，评估制裁风险，然后结合企业特点，从顶层设计制裁合规专项框架，从基层的业务流程中去管控风险，并尽早建立内外部的专家顾问团队，或培养企业自己的合规人才队伍，统筹协同各方资源，在总体国家安全观的理念下，真正做到“未雨绸缪，防患未然”，真正实现“乘风破浪，行稳致远”。

马建新丨道琼斯风险合规中国区总监

近十多年来已为数百家金融机构和企业提供过全面风险管理、金融合规、企业合规、经济制裁合规、出口管制/贸易合规、反洗钱/反恐融资、跨境投资并购合规、专项尽职调查等专业服务。曾多次为国资委、发改委、商务部、贸促会/国际商会（ICC China）、中国人民银行、国务院发展研究中心、新华社，以及国内外的大中型企业、大学院校等机构等进行高管人员培训和专业咨询服务等。

马先生还担任 CCPIT 中国贸促会经贸摩擦顾问委员会国际合规专家、全国企业合规专家委员会研究员、对外经贸大学金融硕士课外导师、前海“一带一路”法律联合会特聘专家、深圳国际商事调解中心调解员等社会职务。

跨境合规实务 | 站在月球看地球——从全局把控美国制裁合规风险的应对策略

《美国政策研判和风险预警》是走出去智库（CGGT）出品，跟踪分析美国最新对华政策动向，内容涵盖华府风向标、科技竞争、贸易战、金融市场、实体清单、焦点企业等。如您希望参阅，请给走出去智库公众号后台留言（姓名、单位、职务、电话、邮箱）。

合作、业务咨询：

servicecenter@cggthinktank.com

走出去智库（CGGT）

不谈大道理，只讲干货。国内外一流投行、法律、会计、风险管理、银行/保险、品牌、人力资源、估值、境外信息情报和数据管理9个领域的专业人士联袂。走出去一站式专业实务和数据信息平台，企业跨境投资并购智囊团。

更多信息请访问：www.cggthinktank.com

版权声明：走出去智库（CGGT）欢迎转载，请注明来源：走出去智库（CGGT）。如不署名来源，CGGT将追究其相关法律责任。